CN110226309A - 用于对机动车辆中数据网络的监测装置进行操作的方法以及监测装置、控制设备和机动车辆 - Google Patents

Abstract

本发明涉及一种用于对机动车辆(10)中的数据网络(11)的监测装置(23)进行操作的方法，其中，该监测装置(23)在网络连接(12)处接收来自数据网络(11)的包括至少一个电信号(20，21)的数据消息(19)。本发明提供了该监测装置(23)以进行以下操作：确定该消息(19)的预定消息部分中的该至少一个电信号(20，21)的相应信号电平的至少一个电平值；基于该至少一个电平值生成测试值；针对该数据消息(19)确定指示该数据消息(19)的所声称发送器设备的发送器信息项；基于该发送器信息确定参考值；以及如果该测试值与该参考值之间的差就绝对值而言大于预定阈值，则生成警告信号(28)。该电信号的信号电平被阻抗衰减或总体上改变，这由连接该发送器设备和该监测装置(23)的线路部分导致。使用这样的事实：在网络中应用各个控制设备(ECU)之间的线路上的特性衰减，这些特性衰减在很大程度上是固定的并且因此在静态网络中是确定的。因此，该监测装置提供了一种方法和装置，其中，在网络中在接收站ECU M(13)处捕获来自发射站ECU X(14，15，16)的总线信号的幅度或幅度差，将其与预期的幅度或幅度差进行比较，并用于检测异常。这使得发送器设备难以隐藏不正确的发送器信息项。

Description

用于对机动车辆中数据网络的监测装置进行操作的方法以及 监测装置、控制设备和机动车辆

本发明涉及一种用于对机动车辆中的数据网络中的监测装置进行操作的方法。监测装置检测数据消息是否由数据网络中不正确的发送器发射。本发明还包括监测装置、具有该监测装置的机动车辆控制设备和具有该控制设备的机动车辆。

可以在机动车辆中提供监测装置以检测数据网络中网络订户的传输行为异常。例如，异常可归因于操纵尝试，在该尝试下，网络订户(即，例如控制设备)使用不正确的发送器发出数据消息。结果是，该网络订户表现为另一个网络订户。这可以例如作为以未经授权的方式调谐机动车辆的尝试的一部分来执行。不正确的配置还可能导致网络订户发射根本不打算发出的数据消息，因为为此提供了另一个网络订户。

结合本发明，所述数据网络应理解为意指例如CAN总线(CAN——控制器区域网络)、FlexRay总线、以太网网络、MOST总线、USB总线、或者所提及的网络技术中的至少两种不同技术的组合。

本发明基于监测机动车辆中的数据网络以获得不正确数据消息的目的。

该目的通过独立权利要求的主题来实现。通过从属权利要求、以下说明和附图描述了本发明的有利改进。

本发明提供了一种用于对机动车辆中的数据网络的监测装置进行操作的方法。可以将监测装置提供作为例如机动车辆的控制设备中的附加电路。该方法规定监测装置在网络连接处接收来自数据网络的数据消息。尽管这个数据消息是数字信号，但是其在物理层(PHY)上作为至少一个电信号传输。因此，数据消息包括至少一个这样的电信号。确定该消息的预定消息部分中的该至少一个电信号的相应信号电平的至少一个电平值。例如，可以捕获电压电平或电流电平作为信号电平。然后，电平值相应地指示电压幅度或电流幅度。基于该至少一个电平值生成测试值。换言之，如果捕获了多个电平值，则对其进行组合以形成单个测试值。在捕获单个电平值的情况下，可以将该电平值用作测试值。

此外，针对数据消息确定指示数据消息的所声称的发送器设备的标识符或发送器信息项。所声称的发送器设备是另一个网络订户，即，控制设备，例如，数据消息可能潜在地源自该控制设备并且还据称根据发送器信息发源。网络订户的另一种术语还被称为“站”。本发明现在用于检查发送器信息是否正确。为此目的，例如基于发送器信息、根据监测装置的数据存储器来确定参考值。此参考值与测试值相关。

如果测试值与参考值之间的差大于预定阈值，则生成警告信号。在这种情况下，优选地捕获就绝对值而言的差，其结果是，测试值是大于还是小于参考值没有任何差别。

为了检测不正确的发送器信息项，本发明使用以下事实：在经由数据网络进行传输期间，通过用于将发送器设备电连接到监测装置的线路部分或线路区段来改变至少一个电平值。发送器设备可以例如根据用于数据网络的通信的规则或标准来生成至少一个电信号，即，可以为至少一个电信号设置标准电平值。然而，该至少一个电信号的相应信号电平被阻抗衰减或总体上改变，这由连接该发送器设备和该监测装置的线路部分导致。这是因为阻抗可以具有电感、电容和/或电阻分量，每个分量可以影响该至少一个电信号。如果数据消息由正确的发送器设备发出，则参考值可以指示监测装置可以预期的测试值。相比而言，如果数据消息由另一个发送器设备发出到数据网络中，则不同的线路部分位于以未经授权方式进行发射的发送器设备与监测装置之间。此线路部分例如由于不同的线路长度而具有不同的阻抗，其结果是，不同于在正确的发送器设备发出数据消息时的情况该至少一个电信号也相应地导致相应的不同电平值。

本发明产生的优点在于，基于至少一个电平值的测量在物理层上检测具有伪造的发送器信息的数据消息。这使得发送器设备难以隐藏不正确的发送器信息项。另一个优点在于，其足以在无需调整或改变其他网络订户(即，其他控制设备)的传输行为和/或电路设计的情况下提供监测设备，以便能够在数据网络中提供根据本发明的监测。

本发明还包括产生额外优点的改进方案。

在规定数据消息包括差分传输的两个电信号(反相的两个电信号)的数据网络中，一个信号的最大值和另一个信号的最小值优选地被确定为这两个信号的相应电平值。监测装置计算最大值与最小值之间的电平差的电平差值。因此，确定最高信号电平和最低信号电平。这两个差分信号的两个电平值通常可以使用。基于电平差确定测试值。例如，电平差可以直接用作测试值。这种改进方案使得能够在监测数据网络时考虑两个电信号。

根据一个改进方案，不仅监测装置本身而且另外地另一个网络订户(即，例如另一个控制设备)都生成这样的电平差值。在此改进方案中，监测装置相应地经由数据网络接收如在数据网络中确定的这两个信号的另一电平差的另一电平差值。然后，基于这两个电平差值的商确定测试值。这产生两个优点。一方面，测试值因此与发送器设备使用的信号电平无关。这意味着制造公差具有独立性，其结果是，发送器设备的替换不会导致测试值的损坏，并且因此总是再次由正确的发送器设备产生参考值。另一个优点在于，在数据网络中的两个点处(即，在两个网络连接处)分别确定电平差。因此，防止了以下情况，在该情况中，因为未经授权的发送器设备随机地距离监测装置与正确的发送器设备相同的距离，并且因此线路部分将具有相同的长度，所以伪造的发送器信息项保持未被监测装置检测到。

为了确定发送器信息，可以规定监测装置从数据消息中读取发送器信息。如果数据消息包含发送器设备的信息项(例如，其网络地址)，则这是可能的。可替代地，可以规定监测装置基于数据消息的消息类型、根据数据网络的预定义配置计划来确定发送器信息。例如，数据消息可以包含特定测量变量(例如，转向角)的值。给定消息类型(“转向角”)的数据消息可以根据配置计划有意地仅仅源自预定的发送器设备。因此，也可以以这种方式确定发送器信息项。

另一个问题是如何在机动车辆中提供参考值。可以通过监测装置经由数据网络接收来自其实际发送器信息为已知的已知发送器设备的参考消息，在校准阶段生成参考值。同样，可以以所描述的方式计算参考消息的测试值。然后，将所计算出的测试值用作例如存储在数据存储器中的参考值。如果可以确保在校准阶段期间数据网络中没有操纵，则可以例如在机动车辆的生产期间或在维修车间停车期间执行校准阶段。测量参考值具有以下优点：可以在参考值中考虑制造公差，并且因此可以在监测期间隐含地补偿该制造公差。

可替代地，也可以计算参考值。在这个方面，可以基于该数据网络的线路区段的阻抗值来计算该参考值，该线路区段将该监测装置电连接到该已知的发送器设备。如果未由另一个控制设备确定第二测试值，则可以基于已知发送器设备在生成至少一个电信号时使用的标准电平的标准电平值(例如，电流电平或电压电平，特别是所述最大值和最小值)来另外地实现参考值。

为了获得有意义的电平值，以所描述的方式使用预定消息部分。一种改进方案规定监测装置将该数据消息的预定信号位确定为该预定消息部分。在此，哪个信号位是适合的取决于数据网络中使用的通信协议。优选地，使用在其中信号电平具有所述最大值的信号位。

为了以较小的技术复杂性执行监测，优选地规定监测装置借助于采样保持电路并借助于连接在该采样保持电路下游的模拟/数字转换器生成至少一个电平值。因此，监测装置可以借助于采样保持电路伴随地读取(即，捕获)预定消息部分，即，可以将该至少一个电信号的相应信号电平存储在例如相应的电容器中以供控制设备使用，而没有数据消息由此丢失。

相应地，规定监测装置优选地作为机动车辆的控制设备中的附加电路操作。控制设备实际上具有应用电路，借助于该应用电路，控制设备可以提供特定于控制设备的车辆功能，例如借助于传感器或驾驶员辅助的致动器控制或对测量值的捕获。因此，这样的车辆功能可以是例如对用于动力辅助转向的电动机的控制、和/或用于驾驶稳定性控制的驾驶员辅助。为了提供车辆功能，控制设备的此应用电路经由相同的网络连接(确切地说，独立于监测电路)接收数据消息。因此，监测装置仅以所描述的方式伴随地读取数据消息并监视其是否源自正确的发送器设备。因此，保护控制设备免受伪造的数据消息的影响。

本发明还提供了被提供用于机动车辆中的数据网络的所述监测装置。为此目的，该监测装置具有被设置用于执行根据本发明的方法的实施例的电子电路。例如，可以提供具有所述采样保持电路、模拟/数字转换器和下游处理器设备(例如，微处理器或微控制器)的电子电路。该方法还可以包括程序代码，例如以便能够执行所述计算步骤。

如果监测装置被实施为机动车辆中的数据网络的控制设备的整体组成部分，则是特别有利的。相应地，本发明还提供了这样一种控制设备，该控制设备具有用于将控制设备连接到数据网络的网络连接，其中，所描述的用于提供车辆功能的应用电路以及独立于此应用电路的根据本发明的监测装置的实施例两者都连接到该网络连接。

最后，本发明还包括具有数据网络的机动车辆，根据本发明的控制设备的实施例连接到该数据网络，即，控制设备具有监测装置。此外，至少一个另一网络订户(即，例如另一控制设备)连接到数据网络。该另一网络订户被设置成发出至少一个数据消息。根据本发明的控制设备可以用在机动车辆中以检测由控制设备接收的数据消息是否实际上源自网络订户。

根据本发明的机动车辆被优选地设计成汽车，特别是客运车辆或卡车。

下文描述了本发明的示例性实施例。为此目的，在附图中：

图1示出了根据本发明的机动车辆的实施例的示意性展示；

图2示出了两个控制设备的示意性展示，该两个控制设备经由来自图1的机动车辆中的数据网络进行通信；

图3示出了控制设备之一的内部结构的示意性展示，该控制设备具有用于数据网络的监测装置。

下文中说明的示例性实施例是本发明的优选实施例。在示例性实施例中，实施例的所描述的部件各自构成本发明的单独特征，这些单独特征应当彼此独立地考虑并且在各自情况下也彼此独立地发展本发明，并且因此也应当单独地或以与所示出的不同的组合被视为本发明的组成部分。此外，所描述的实施例还可以由本发明的来自已经描述的特征中的另外特征进行补充。

在附图中，在每种情况下，功能相同的元件提供有相同的附图标记。

图1示出机动车辆10，该机动车辆可以是汽车、尤其是乘用车或卡车。例如，机动车辆10可以具有数据网络11，该数据网络可以是CAN总线或FlexRay总线。控制设备13、14、15、16可以分别经由相应的网络连接12连接到数据网络11。控制设备13、14、15、16通过相应的单独名称(ECU M，ECU 1，ECU 2，ECU C)彼此区分。控制设备13(ECU M)可以是例如数据网络11的总线主控器。例如，控制设备ECU 1、ECU 2可各自提供传感器设备和/或致动器控制件。控制设备16可以是另一网络订户(C——客户端)。

图1展示了具有线路长度l_1M的相应线路区段17可以将控制设备ECU 1电连接到控制设备ECU M，并且具有线路长度l_1C的线路区段18可以将控制设备ECU 1电连接到控制设备ECU C。

为了传输数据消息19，控制设备ECU 1例如可以在相应的线路区段17、18中生成电信号，这些信号可以经由控制设备ECU M和ECU C(以及还有ECU 2)的相应网络连接12来接收。

在这种情况下，图2展示了当从控制设备ECU 1向控制设备ECU M传输数据消息19时对线路区段17的影响。如结合CAN总线和FlexRay总线技术已知的，可以规定在高压线路H和低压线路L中生成两个电信号20、21以进行数据消息19的差分传输。

图3展示了除了实际应用电路22之外，可以如何例如在控制设备ECU M中提供监测装置23，并且可以如何捕获经由独立于应用电路22的网络连接12接收的电信号20、21。为此目的，监测装置23可以具有选择逻辑24、采样保持电路25、模拟/数字转换器26和处理器设备27(例如，微控制器)。处理器设备27可以是应用电路22的组成部分。模拟/数字转换器26可能已经是组成处理器设备27的微控制器的组成部分。

如果控制设备ECU M接收到不是由打算生成对应消息类型的特定数据消息19的相应控制设备14、15发出的数据消息19，则监测装置23将此数据消息19识别为伪造的或不正确的，并且然后可以生成警告信号28，该警告信号可以指示此伪造数据消息19。

为此目的，监测装置23可以执行用于检测网络异常的方法。在这种情况下，网络11中的消息19的源借助于特性图案来验证，该特性图案仅由比如传播介质上(例如在电线上)的衰减等物理边界条件给出，并且因此可能非常难以伪造。网络可以是CAN总线、FlexRay、以太网、MOST，以展示该方法的广泛可能使用。

在适当的时间捕获总线信号的幅度或幅度差，并且在成功接收之后，将该幅度或幅度差与经授权的发送器设备的预期图案进行比较。如果这些图案相对应，则存在正常情况，即，消息因此源自经授权的发送器设备。在另一种情况下，可以确定异常；检测到消息未由经授权的发送器设备作为消息19的源发射。攻击可以借助于异常检测被有效地检测，并且可以在另一步骤中被避免。在监测装置23中，在信号下立即检查总线上的电压(可能还有电流)，即，除了用作发送器信息以向信号源分配特性图案的标识符之外，在此描述的异常检测中不对消息内容进行解码。

对于该方法，要检查的消息的周期性不被预期。也不预先假定发射网络订户的任何合作，即，发射发送器设备不需要发射任何附加信息，例如，时间戳。此外，该方法用于例如借助于绝大多数电子控制设备不需要任何修改的事实来努力使附加费用保持较低。

使用这样的事实：在网络中应用各个ECU之间的线路上的特性衰减，这些特性衰减在很大程度上是固定的并且因此在静态网络中是确定的。

如果，如图2所展示的，ECU 1发射消息，这例如在CAN总线的情况下或在FlexRay的情况下借助于差分线路传输来执行。两个对称总线线路中的一个利用电平U_1H来调制，并且另一个利用反相电平U_1L来调制。在此仅通过示例展示了单个理想端接线路区段17。

根据图2，电压U_1H(t，l)或U_1L(t，l)作为衰减波在线路上传播，并且所述电压由ECUM接收为衰减的较小电压U_MH和U_ML，从而产生差值：

ΔU1＝U_1H-U_1L (1)

ΔUM＝U_MH-U_ML (2)

ΔU_M＝ΔU₁·10^{(0.1·α·l_1M)} (3)

在此，系数α以dB/m为单位表示线路的衰减，并且l_1M＝l_1M表示在低反射端接的情况下(在此应始终确保低反射端接)ECU 1与ECU M之间的线路长度。

因此，接收ECU处的幅度差初始地由发射ECU确定，并且然后随线路长度l_1M呈指数减小。α的典型绝对值的大小约为0.1dB/m至0.3dB/m。

现在假设控制设备ECU X在任何所期望的时间发出由连接到数据网络的所有ECU、特别是由ECU M接收的消息。例如，在这种情况下，X可以为1或2。针对来自尚且未知的控制设备ECU X的数据消息19，监测装置23确定电平差ΔU_M＝ΔU_X。

针对安全关键消息的特定标识符(例如，转向角或节流阀位置)，ECU M现在可以根据本方法将总线电平的当前所确定的幅度差ΔU_X(实际)与预期幅度差ΔU_X(预期)进行比较，并且可以将偏差评估为异常。

Apat(X)＝ΔU_X(实际)-ΔU_X(预期) (4)

在不期望的(即，安全关键的)情况下，ECU Y现在将发射据称源自ECU X(Y不等于X)的消息28。在CAN总线的情况下，例如，如果ECU Y使用正常专门分配给ECU X的CAN标识符将会是这种情况。在传统网络中，可能无法识别CAN标识符的这种不恰当使用。例如，在从其中发出伪造的CAN消息的ECU Y的“黑客攻击(hacking)”期间出现这种情况。

如果(|Apat(x)|>限度)→异常 (5)

为了根据(2)确定特性幅度差，必须选择适当的时间。这可以借助于用于确定适当的信号属性(例如，在起始边沿之后消息19的特定位)的选择逻辑来执行。

在具有任何期望数量个ECU的网络中，主ECU M优选地设置有监测装置23，该监测装置允许选择逻辑24(在此，借助于采样保持25和下游AD转换器26)在先前规定的位到达时捕获来自未知源ECU X的总线信号的幅度差ΔUX。其他ECU不需要这样的装置。

根据(3)，在接收ECU 1处的幅度差还取决于可用于发射ECU 1的幅度差ΔU₁。该电压可能在串联变化、老化和温度的影响下变化很大。相比之下，线路上的衰减相当恒定。因此，如果在两个单独的ECU处(例如，ECU M和ECU U处)捕获幅度或幅度差图案，则获得改进，并且因此，取决于衰减的D(X)借助于(6)被捕获为发射ECU X的特性图案：

ΔU_M(X)＝ΔU_X·10^{(0.1·α·l_MX)}

ΔU_C(X)＝ΔU_X·10^{(0.1·α·l_CX)}

D(X)＝ΔU_M(X)/ΔU_C(X)＝10^{(0.1·α·(l_MX-l_CX)}

其中，l_MX＝l_MX为ECU M与ECU X之间的线路区段的长度，并且l_CX＝l_CX为ECU C与ECU X之间的线路区段的长度。

针对安全关键消息的特定标识符(例如，转向角或节流阀位置)，ECU M可以利用已知的在第二ECU C中确定的幅度差、根据用于消息X的方法将当前所确定的衰减图案D(X，实际)与预期衰减图案D(X，预期)进行比较，并且可以将偏差评估为异常

Dpat(X)＝D(X，实际)-D(X，预期)(7)

在安全关键的情况下，ECU Y现在将发射据称源自ECU X的消息Y。在CAN总线的情况下，例如，如果ECU Y使用正常专门分配给ECU X的CAN标识符将会是这种情况。在传统网络中，可能无法识别CAN标识符的这种不恰当使用。例如，在从其中发出伪造的CAN消息的ECU Y的“黑客攻击(hacking)”期间出现这种情况。

如果(|Dpat(X)|>限度)→异常 (8)

因此，该监测装置提供了一种方法和装置，其中，在网络中在接收ECU M处捕获来自发射站ECU X的总线信号的幅度或幅度差，将其与预期的幅度或幅度差进行比较，并且用于检测异常。优选地，关于消息的特定位的总线电平(电压或电流)，在网络中的点(在此称为ECU M)处评估网络信号。优选地，在ECU M中捕获(采样)总线电平或信号电平，并将例如其标识符分配给网络消息X。优选地，计算在ECU M中所捕获的消息X的总线电平以形成电平差。优选地，利用消息X的总线电平来计算由已知站ECU C(或ECU M)发射的参考消息R的所捕获的总线电平以形成衰减或幅度图案或幅度差图案。优选地，将所确定的电平差或衰减图案与预期图案进行比较，并且借助于阈值判定将偏差评估为异常。优选地，在特定位到达时在ECU M或ECU C中捕获总线电平，并且具有峰值保持电路(作为采样保持电路)的模拟滤波器用于插值目的，此内插值同样由模拟/数字转换器捕获并且被分配给网络消息X。

总的来说，示例示出了本发明可以如何提供网络中的幅度监测。

附图标记清单

10 机动车辆

11 数据网络

12 网络连接

13 控制设备

14 控制设备

15 控制设备

16 控制设备

17 线路区段

18 线路区段

19 数据消息

20 电信号

21 电信号

22 应用电路

23 监测装置

24 选择逻辑

25 采样保持电路

26 模拟/数字转换器

27 处理器设备

28 警告信号

Claims (12)

1.一种用于对机动车辆(10)中的数据网络(11)的监测装置(23)进行操作的方法，其中，该监测装置(23)在网络连接(12)处接收来自该数据网络(11)的包括至少一个电信号(20，21)的数据消息(19)，其特征在于：该监测装置(23)：

-确定该消息(19)的预定消息部分中的该至少一个电信号(20，21)的相应信号电平的至少一个电平值，

-基于该至少一个电平值生成测试值，

-针对该数据消息(19)确定指示该数据消息(19)的所声称发送器设备的发送器信息项，

-基于该发送器信息确定参考值，以及

-如果该测试值与该参考值之间的差就绝对值而言大于预定阈值，则生成警告信号(28)。

2.如权利要求1所述的方法，其中，该数据消息(19)包括差分传输的两个电信号(20，21)，并且该监测装置(23)计算一个信号(20)与另一个信号(21)之间的电平差的电平差值，并且基于该电平差值确定该测试值。

3.如权利要求2所述的方法，其中，该监测装置(23)经由该数据网络(11)接收如在另一网络连接(12)处所确定的该数据消息(19)中的该至少一个电信号(20，21)的另一电平差的另一电平差值，并且基于这两个电平差值的商确定该测试值。

4.如前述权利要求之一所述的方法，其中，该监测装置(23)从该数据消息(19)读取该发送器信息，或者基于该数据消息(19)的消息类型、根据该数据网络(11)的预定义配置计划确定该发送器信息。

5.如前述权利要求之一所述的方法，其中，该相应信号电平是电压电平或电流电平。

6.如前述权利要求之一所述的方法，其中，通过该监测装置(23)经由该数据网络(11)接收来自其发送器信息已知的已知发送器设备的参考消息、并且计算该参考消息的测试值并将所计算出的测试值存储为该参考值，在校准阶段生成该参考值，或者其中，

基于该数据网络(11)的线路区段(17)的阻抗值来计算该参考值，该线路区段将该监测装置(23)电连接到该已知的发送器设备。

7.如前述权利要求之一所述的方法，其中，该监测装置(23)将该数据消息(19)的预定信号位确定为该预定消息部分。

8.如前述权利要求之一所述的方法，其中，该监测装置(23)借助于采样保持电路(24)和连接在该采样保持电路下游的模拟/数字转换器(25)生成该至少一个电平值。

9.如前述权利要求之一所述的方法，其中，该监测装置(23)作为该机动车辆(10)的控制设备(13)中的附加电路操作，其中，该控制设备(13)的应用电路(22)经由独立于该监测电路(23)的相同的网络连接(12)接收用于提供车辆功能的该数据消息(19)。

10.一种用于机动车辆(10)中的数据网络(11)的监测装置(23)，其中，该监测装置(23)具有电子电路，该电子电路被设置成执行如前述权利要求之一所述的方法。

11.一种用于机动车辆(10)中的数据网络(11)的控制设备(13)，其中，该控制设备(13)具有用于将该控制设备(13)连接到该数据网络(11)的网络连接(12)和用于提供车辆功能的应用电路(22)，并且独立于该应用电路的如权利要求10所述的监测装置(23)连接到该网络连接(12)。

12.一种具有数据网络(11)的机动车辆(10)，该数据网络连接到如权利要求11所述的控制设备(23)、以及被设置成发出数据消息(19)的至少一个网络订户(14，15，16)。